Habilidades container-grype
📦

container-grype

v0.1.0 Riesgo medio ⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos🔑 Variables de entorno⚡ Contiene scripts

Escanear contenedores con Grype

Las imágenes de contenedor a menudo se distribuyen con paquetes vulnerables que son difíciles de priorizar. Esta habilidad ayuda a Claude, Codex y Claude Code a ejecutar escaneos con Grype, interpretar resultados y añadir controles en CI/CD.

Compatible con: Claude Codex Code(CC)
📊 75 Adecuado
1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "container-grype". Escanea una imagen de producción y explica el resultado.

Resultado esperado:

Un plan de escaneo conciso, un resumen de severidad, los CVE de mayor riesgo, paquetes afectados, actualizaciones recomendadas y un paso de reescaneo.

Usando "container-grype". Añade Grype a un pipeline de GitHub Actions.

Resultado esperado:

Un esquema de pipeline con checkout, build, scan, carga de SARIF, retención de artefactos, umbral de fallo y advertencias sobre el endurecimiento de la plantilla.

Usando "container-grype". Convierte resultados de vulnerabilidades en un plan de remediación.

Resultado esperado:

Una lista de acciones priorizadas agrupadas por actualizaciones de imagen base, actualizaciones de dependencias de aplicación, riesgos aceptados, responsables y fechas objetivo.

Auditoría de seguridad

Riesgo medio
v6 • 6/28/2026

Static analysis found many command, network, filesystem, environment, and script patterns, but most are documentation examples for legitimate vulnerability scanning workflows. The confirmed risks are operational: some CI templates install tools with curl piped to a shell and one Jenkins example mounts the Docker socket, so publication is acceptable only with clear warnings and review guidance.

10
Archivos escaneados
3,459
Líneas analizadas
9
Review items
0
False positives ignored

Confirmed security concerns (1)

Medio
Docker Socket Mounted Into Jenkins Scan Container
The Jenkins example mounts /var/run/docker.sock into the Grype container. This is sometimes required for image scanning, but it gives the scan container broad control over the Docker daemon if the container or pipeline is compromised.
The Docker socket mount is explicitly present in the Jenkins CI example. It is a legitimate operational pattern, but it materially expands pipeline privileges.
Capability review items (3)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Medio
Remote Installer Piped to Shell in CI Templates
The CircleCI and Azure examples install Grype by downloading a script from GitHub and piping it directly to a shell. This is a real supply-chain risk if users copy the templates without pinning, checksum verification, or controlled package sources.
The pattern is present in executable CI snippets and would execute remote code during builds. Confidence is high, but the context is an example template for a security scanner rather than hidden malicious behavior.
Bajo
Educational Security Examples Trigger Static Patterns
Several findings are false positives from educational examples that demonstrate vulnerable patterns, CVSS concepts, CISA KEV prioritization, or remediation guidance. These examples are not executed by the skill itself.
The surrounding files are clearly templates or reference documents, and the flagged lines are used to teach detection and remediation. They should be documented, but they do not show active malicious behavior.
Bajo
Normal CI Token and Local Configuration Access
The GitHub token, environment variable, .grype.yaml, cache directory, and report file reads are expected for CI security reporting and Grype configuration. No evidence found that the skill exfiltrates secrets or reads unrelated user files.
The evidence appears in CI configuration and local Grype configuration examples. It remains low risk because users may copy the templates into privileged environments.

Patrones detectados

Pipe to Shell Installation PatternPrivileged Docker Daemon AccessShell Command Examples Require Input Control

Puntuación de calidad

59
Arquitectura
100
Mantenibilidad
87
Contenido
71
Comunidad
57
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Bloquear lanzamientos de contenedores riesgosos

Añade escaneos de Grype a los pipelines de compilación y falla los lanzamientos cuando se encuentran vulnerabilidades altas o críticas.

Priorizar el trabajo de remediación

Clasifica los hallazgos de contenedores usando severidad, probabilidad de explotación, explotación conocida, disponibilidad de corrección y contexto del paquete afectado.

Preparar evidencia de auditoría

Genera informes y artefactos de escaneo repetibles que respaldan la gestión de vulnerabilidades y los controles de la cadena de suministro de software.

Prueba estos prompts

Ejecutar un primer escaneo
Usa la habilidad container-grype para escanear mi imagen llamada <image>. Explica el comando, la salida esperada y cómo interpretar los hallazgos críticos y altos.
Añadir un control de CI
Usa la habilidad container-grype para diseñar un escaneo de Grype en CI/CD para <platform>. Falla con severidad alta y guarda un informe legible por humanos como artefacto.
Priorizar un informe
Usa la habilidad container-grype para ayudar a priorizar mis resultados de Grype. Enfócate en CISA KEV, EPSS, CVSS, disponibilidad de corrección y propiedad del paquete.
Diseñar un flujo de trabajo empresarial
Usa la habilidad container-grype para diseñar un flujo de trabajo de gestión de vulnerabilidades de contenedores en compilación, registro, despliegue y reescaneos programados.

Mejores prácticas

  • Fija las versiones del escáner y verifica las descargas antes de usar plantillas de CI en producción.
  • Trata las coincidencias de KEV y las vulnerabilidades con EPSS alto como urgentes, incluso cuando el CVSS sea más bajo.
  • Almacena los informes de escaneo de forma segura porque los inventarios de paquetes pueden revelar la arquitectura de la aplicación.

Evitar

  • No copies comandos de instaladores remotos en CI de producción sin verificación.
  • No montes el socket de Docker en runners compartidos a menos que el runner esté aislado y sea confiable.
  • No suprimas vulnerabilidades sin una razón documentada, responsable y fecha de revisión.

Preguntas frecuentes

¿Qué me ayuda a escanear esta habilidad?
Ayuda a escanear imágenes de contenedor, sistemas de archivos locales y archivos SBOM con Grype.
¿Puede reemplazar a un analista de seguridad?
No. Apoya el triaje y el diseño de flujos de trabajo, pero un revisor cualificado debe aprobar las decisiones de riesgo.
¿Requiere acceso a Docker?
Algunos flujos de trabajo de escaneo de imágenes requieren Docker o acceso al registro. Los escaneos basados en SBOM pueden reducir ese requisito.
¿Por qué usar escaneo de SBOM?
El escaneo de SBOM puede ser más rápido, repetible y más fácil de archivar para auditorías.
¿Las plantillas de CI están listas para producción?
Son ejemplos. Revisa los instaladores remotos, permisos de tokens, aislamiento de runners y acceso al socket de Docker antes de usarlos.
¿Qué herramientas de IA pueden usar esta habilidad?
El informe enumera soporte para Claude, Codex y Claude Code.